大家好，我是轩辕。

上周的某天早上，我刚到公司，旁边的小伙伴就神神秘秘地告诉我：

“轩哥，你电脑是不是被种马了？”

我一听瞪大了眼睛，赶忙问什么情况。

“我在XXX上看到你的IP在大量请求公司其他人的电脑，有点像横向移动”

我脑子嗡了一下！

这里补充一下背景：

1、XXX是一款产品，用来分析网络通信流量中的网络攻击行为。

2、横向移动是网络攻击的一个术语，攻击者拿下一台主机后，一般会进一步探测目标主机所处的网络环境，然后尝试入侵同局域网中更多的主机，称之为横向移动。

我赶紧上XXX平台看了一下，果不其然，发现了我的IP和同网段的其他主机的7680端口都建立过连接，几乎把同网段的主机都连了一遍，而且就在发现的当下，仍然还在不断连接其他主机的7680端口。产品涉密，这里就不方便截图了。

那一刻，说不慌是不可能的。

自己就是搞安全的，这要是出了这么大篓子，那日后可真没脸见人了。

赶紧打开工具分析了起来，用抓包软件看了一下，不仅我在连别人的7680端口，别人居然也在连我的7680端口。

先看下我本机上的7680端口是哪个进程在监听：

用procexp这个工具看到进程PID是5952：

定位到这个具体的进程，竟然是一个svchost的进程，心情更加郁闷了！因为svchost进程是Windows上很多系统服务的躯壳进程，Windows的很多系统服务都是通过这个svchost.exe来加载对应的服务dll来运行的。

因为Windows系统服务众多，所以你打开任务管理器可以看到一堆的svchost进程。而很多病毒木马也喜欢利用这一点，藏在svchost里面，这样可以隐蔽自己，不容易被发现。

所以当我看到是svchost的时候，心里更加慌了。

但我看进程的命令行，又不像是个恶意的程序。别着急，既然是服务，那就可以看到具体的服务描述。切换到services服务tab页下，看到了这个服务的描述信息：

执行内容传递优化服务

这是个神马玩意儿？

于是我搜了一下，在微软官网找到了这个东西的介绍：

原来是Windows用来做更新用的，它可以通过局域网内其他的Windows主机来获取更新内容，并且确实是使用的7680端口：

最后，我在系统设置里找到了这个家伙：

默认情况下，系统是开启了这个开关的，也就是说，你的Windows系统会在它认为合适的时候，去主动连接局域网的其他主机，向它们获取更新信息。

微软这波操作，也是醉了，这个行为实在是太像木马了。咱就是说，今天这个新就必须更是吗？

也许是我火星了，应该好几年前就引入了这个功能，只不过这几年换到Mac后，没怎么关注Windows，偶然被我发现了罢了。

关于Windows的更新，也算是圈内一个梗了。一不小心想重启一下，不好意思，等我更新完成，哪怕当前情况再紧急，对不起，等我更新完成。

不过还好是虚惊一场，赶紧把这玩意儿给关了。

你有被Windows更新坑过的经历吗？